XSS 注入檢查點

若是你有個論壇，通常你會很注意用戶發帖的注入問題，每每這個地方不會被注入，由於開發特別照顧。原則上XSS都是用戶輸入的，可是許多邊角仍是容易忽略。枚舉一些檢查點。

分頁

分頁通用組件獲取url，修改page以後生成分頁樣式的HTML，最容易忽略XSS注入。

錯誤提示

即便攻擊對象沒法正常打開網頁，XSS注入也已經完成。反饋錯誤提示頁面若是包含用戶輸入的內容。好比："標題x 中包含 ** 是不容許的"。有一些SQL報錯提示也會帶上用戶輸入內容。

搜索

搜索詞通常沒有硬性要求去掉某些字符，和分頁一塊兒很容易產生注入

審覈後臺、其餘用戶提交內容的管理後臺。

用戶輸入的內容不必定是對付其餘用戶的，後臺的設計缺陷也可能致使xss，好比審覈後臺，原本是審覈用戶提交內容是否安全，可是極可能本身中招。

任何富文本編輯器提交的內容

富文本編輯器提交內容自己帶有大量HTML代碼，同時保證用戶的自由編輯和安全是很是困難的。能夠找一些開源過濾方案。